Un nou tip de atac cibernetic face ravagii in conturile de criptomonede ale mai multor companiilor mici si mijlocii din intreaga lume, care opereaza in industria de profil, ocupandu-se de contracte inteligente, DeFi, Blockchain si industria FinTech. Expertii Kaspersky au identificat in spatele acestor atacuri temuta grupare de hackeri Lazarus APT, care a lansat de curand o noua strategie pentru a goli portofelele digitale, numita SnatchCrypto.
Expertii Kaspersky au descoperit o serie de atacuri de tip amenintari persistente avansate (APT), initiate de BlueNoroff, impotriva startup-urilor care activeaza in industria cripto. Atacurile au dus la pierderi majore de criptomonede pentru victime, se arata intr-un raport publicat recent de compania de securitate cibernetica pe pagina sa oficiala.
BlueNoroff face parte din organizatia Lazarus si foloseste structura diversificata si tehnologiile de atac sofisticate ale acesteia, explica expertii Kaspersky.
Grupul Lazarus APT este cunoscut pentru atacurile asupra bancilor si serverelor conectate la SWIFT si chiar s-a angajat in crearea de companii false pentru dezvoltarea de software pentru criptomonede. Clientii inselati au instalat ulterior aplicatii cu aspect legitim si, dupa un timp, au primit actualizari de tip backdoor.
Hackerii abuzeaza de increderea angajatilor care lucreaza la companiile vizate
In cea mai recenta campanie de atac cibernetic, hackerii abuzeaza subtil de increderea angajatilor care lucreaza la companiile vizate, trimitandu-le un virus de tip backdoor pe Windows cu functii de supraveghere, sub masca unui „contract” sau a unui alt document de business. Pentru a goli in cele din urma portofelul cripto al victimei, atacatorul a dezvoltat resurse extinse si periculoase: infrastructura complexa, exploit-uri, implanturi de malware.
Acum, explica expertii Kaspersky, aceasta „filiala” a grupului Lazarus a trecut la atacarea start-up-urilor de criptomonede. Deoarece majoritatea afacerilor cu criptomonede sunt start-up-uri mici sau mijlocii, acestea nu pot investi multi bani in sistemul lor de securitate interna. Atacatorii profita de aceasta vulnerabilitate, utilizand scheme elaborate de inginerie sociala. Pentru a castiga increderea victimei, BlueNoroff pretinde a fi o companie de investitii de capital de risc existenta.
Cel putin 15 companii s-au trezit cu conturile cripto golite
Cercetatorii Kaspersky au descoperit peste 15 companii atacate deja cu schema SnatchCrypto. Sfera start-up-urilor care se ocupa de criptomonede a fost aleasa de infractorii cibernetici deoarece aceste companii primesc frecvent mesaje sau fisiere din surse necunoscute si angajatii nu sunt obisnuiti sa le trieze.
Daca documentul ar fi deschis offline, nu ar prezenta niciun pericol – cel mai probabil, ar arata ca o copie a unui fel de contract sau a unui alt document inofensiv. Dar daca computerul este conectat la Internet in momentul deschiderii fisierului,computerul este infectat cu un malware. Ulterior, BlueNoroff implementeaza alte instrumente cibernetice pentru a monitoriza victima: un keylogger si unul care realizeaza capturi de ecran.
Ulterior atacatorii urmaresc victimele timp de saptamani, sau luni: colecteaza informatii despre tastele apasate de utilizator si monitorizeaza operatiunile zilnice ale acestuia, in timp ce planifica o strategie pentru furtul financiar. Cand gasesc o tinta importanta care utilizeaza o extensie populara de browser pentru a gestiona portofelele cripto (de exemplu, extensia Metamask), acestia inlocuiesc componenta principala a extensiei cu o versiune falsa. In momentul in care se efectueaza o tranzactie cripto, e schimbata adresa destinatarului criptomonedelor, dar si suma tranzactiei, adica golesc contul dintr-o singura miscare.
Furt de aproape 400 de milioane de dolari inregistrat in 2021
Criptomonedele sunt din ce in ce mai vizate de atacatorii cibernetici, pe masura ce capitalizarea de piata si adoptia acestora creste. Un raport recent al companiei de criminalistica blockchain Chainalysis arata ca doar infractorii cibernetici din Coreea de Nord au furat bitcoin si Ether, in valoare de aproape 400 de milioane de dolari, dar au inca milioane de fonduri in criptomonede furate din anii anteriori.
„Aceste comportamente, reunite, picteaza un portret al unei natiuni care sprijina criminalitatea cibernetica de criptomonede la scara masiva. Sistematic si sofisticat, guvernul Coreei de Nord – fie prin intermediul Grupului Lazarus sau al altor sindicate criminale ale sale – s-a consolidat ca o amenintare persistenta avansata pentru industria criptomonedei in 2021”, se arata in raportul Chainalysis.
Raportul Chainalysis publicat joi, 13 ianuarie 2022 arata ca fondurile au fost furate in urma atacurilor asupra a minimum sapte platforme de exchange cripto. De asemenea, compania crede ca majoritatea atacurilor au fost posibil sa fie efectuate de temuta organizatie criminala cibernetica cunoscuta sub numele de Lazarus Group.
Hackerii au folosit metode precum exploit de cod, phishing, malware, inginerie sociala avansata si exploatare de coduri pentru a fura fonduri din de pe platforme cu sisteme de securitate vulnerabile.
Interesant, in 2021 Bitcoin a reprezentat mai putin de un sfert din fondurile cripto furate. Intre timp, Ether a reprezentat mai mult de jumatate din sumele furate cu un procent de 58%, in timp ce alte monede alternative si tokenuri ERC-20 au reprezentat 22%.